A csomagkezelők lassítanak: 7 nagy név támogatja a függőségi kihűlést

Simon Willison a LiteLLM supply chain támadás után újra felderítette a függőségi kihűlést, vagyis a gyakorlatot, hogy csak akkor telepítsük a frissítéseket, ha azok már néhány napja a nyilvánosság elé kerültek. A módszer célja, hogy a közösségnek legyen ideje felfedezni a potenciális kompromittációkat.

A módszer nem új; a legfrissebb elemzés, Andrew Nesbitt 4. márciusúi cikkében bemutatja, hogy a négy legnagyobb csomagkezelő – pnpm, Yarn, Bun, Deno – mindegyike már beépítette a cooldown mechanizmusokat. A pnpm 10.16 (2025. szeptember) verziójában a minimumReleaseAge és a minimumReleaseAgeExclude opciók állnak rendelkezésre, míg a Yarn 4.10.0 (2025. szeptember) a npmMinimalAgeGate (percben) és a npmPreapprovedPackages kivétellistát kínál.

Bun 1.3 (2025. október) a minimumReleaseAge beállítást a bunfig.toml fájlban teszi elérhetővé, míg a Deno 2.6 (2025. december) a --minimum-dependency-age kapcsolóval jelzi a minimális várakozási időt. A C/C++ alapú uv 0.9.17 (2025. december) a --exclude-newer opciót bővíti relatív időtartamokkal, valamint csomag-specifikus felülbírálást kínál.

A Python környezetben a pip 26.0 (2026. január) a --uploaded-prior-to kapcsolóval csak abszolút dátumokat támogat, de Seth Larson cron alapú megoldást javasol a relatív időkezeléshez. Az npm 11.10.0 (2026. február) a min-release-age opcióval szintén lehetővé teszi a cooldown beállítását.

Ez a trend arra utal, hogy a csomagkezelők egyre inkább felismerik a supply chain támadások veszélyét, és a közösség védelemét elsődlegessé teszik. A cooldown bevezetése nem csak a biztonságot erősíti, hanem a fejlesztők számára is időt ad a frissítések alapos ellenőrzésére.

Jelenleg a legtöbb eszköz támogatja a cooldown funkciót, de a relatív időtartamok implementálása még folyamatban van. A következő hónapokban várható, hogy a pip és az npm is kibővülnek relatív dátumokkal, így a csomagkezelők teljesen egyenlő szinten fognak működni a biztonsági szempontból.